Использование Windows Credential Manager для безопасности PowerShell
Скрипты Powershell в большинстве случаев используются для автоматизации выполнения определенных задач, и зачастую для их выполнения необходимо указывать определенные учетные данные, часто с повышенными правами. Для интерактивных сценариев это не проблема, поскольку при необходимости они могут...
Взлом соцсетей: цены на черном рынке и риски для бизнеса
Мы решили выяснить, сколько стоит угон личного и корпоративного аккаунтов в соцсетях. Даже больше — попытались его заказать. Заодно изучили публично известные атаки на бизнес, которые были связаны с соцсетями. А еще подготовили рекомендации по защите компании от таких инцидентов (советы...
Разбираем магических зверей безопасности: AuthZ: abac/rbac, AuthN и 2FA
Вы знаете, что меня действительно выбивает из колеи забавит? Даже люди, которые давно работают в IT, путают аутентификацию и авторизацию. На пару проектах я столкнулся с тем, что некоторые ребята, которые работают в индустрии годами, не видят разницы между этими двумя понятиями. И это не просто “я...
Роботогорничная Tuvio от Яндекса
В 20х числах мая на обзор приехал Tuvio TR05MLCB — робот-пылесос от Яндекса. Я против не была, поскольку наш прежний пылесос качественно производил только доведение до нервного подергивания глазом. Как справляется новичок — смотрим под катом. Читать далее...
Осваиваем DOM Invader: ищем DOM XSS и Prototype Pollution на примере пяти лабораторных и одной уязвимости на Хабре
Привет, Хабр! Сегодня мы познакомимся с DOM XSS и Prototype Pollution, рассмотрим примеры уязвимостей на Bug Bounty и научимся использовать инструмент DOM Invader, который заметно упростит поиск таких уязвимостей. Материал будет интересен специалистам, которые уже сталкивались с DOM XSS и Prototype...
Первый в мире ноутбук на базе ARM-процессора Qualcomm X Elite и ОС Linux. Что это за девайс?
Компания Tuxedo представила, по ее словам, первый в мире Linux-ноутбук, основа которого — ARM-процессор Qualcomm X Elite. Он практически не уступает по характеристикам решениям от Intel и AMD. На прототипе установлена ОС Linux, с этой же операционной системой будут работать уже и устройства,...
Как решить проблему уязвимостей бизнес-логики? Поломать приложение еще до написания кода
Всем привет. Меня зовут Нияз Кашапов, я AppSec Lead в СберМаркете. Улучшаю процессы безопасной разработки уже более 5 лет. Начинал карьеру в финтехе, где занимался безопасностью кода, фич и бизнес-процессов в онлайн-банкинге. А сейчас продолжаю начатое в одном из самых быстрорастущих игроков на...
Как выбрать плагин для защиты сайта, если вы начинающий веб-мастер
К сожалению, часто владельцы сайтов задумываются о безопасности, только когда атака уже случилась. Чтобы не пришлось разбираться с последствиями взломов, лучше сразу установить плагин, который обеспечит комплексную защиту сайта от распространённых угроз. Меня зовут Алексей Солдатов, я руковожу...
Новые процессоры AMD, российский четырехсокетный сервер, различные СХД и другие новинки за май
Май не был богат на новинки серверного железа. Очевидно, что производители приберегли новинки на выставку Computex, которая прошла в начале июня в Тайване. Однако совсем без инфоповодов не обошлось. Читать дальше →...
Автостарт Android-устройств — это просто! Реверсим, патчим загрузчик и заставляем смартфон включаться самому
Обычно Android-устройства принято считать "бесполезными" через 5-10 лет после выхода. Особенно, это касается бюджетных моделей, которые "не тянут" современные сервисы или те девайсы, которые по каким-то причинам физически пострадали в процессе своей жизни. Но пока одни выкидывают смартфоны и...
Настраиваем Lock Task Mode aka Kiosk Mode
Привет! Меня зовут Максим Мищенко и я Android-разработчик в компании Effective. В этой статье я расскажу, что такое Lock Task Mode и как его реализовать. Читать далее...
Максимально точное увеличение разрешения изображений: билинейная аппроксимация
В этом выпуске: улучшение билинейной интерполяции, второй этап сравнения методов апскейлинга с точки зрения наименьшей ошибки, как применять шейдеры к отдельным изображениям, как уменьшить звон на изображении и многое другое... Продолжаем увеличивать апскейл......
Строим прокси цепочку с помощью graftcp
Использование цепочек прокси серверов позволяет обойти различные ограничения при доступе к сетевым ресурсам. Для проксирования обычно используют SOCKS или HTTP прокси. Сетевой протокол сеансового уровня SOCKS позволяет пересылать пакеты от клиента к серверу через прокси-сервер прозрачно (незаметно...
Искусственному интеллекту – быть! Какие обновления представила Apple на WWDC 2024
Значительную часть летней конференции Apple уделила внедрению искусственного интеллекта в свои устройства и традиционно рассказала об обновлениях операционных систем своих устройств. Технический директор CleverPumpkin Александр Кияйкин внимательно посмотрел презентацию и поделился главными...
Мучаем iPad 2010 года на предмет жизнеспособности
Новые айпады Apple выпускает каждый год. А что из себя представляла самая первая модель, и реально ли ей пользоваться в наше время? Шёл 2021 год, коронавирус всё ещё был актуален. Ну а мне нечего было делать без работы, и как-то подумал: а может всё-таки купить самый первый айпад? Посмотрел...
[Перевод] Об извлечении кода в Python
Я начал изучать Python в 2009 году, столкнувшись с очень нетривиальной и, кстати, необычной задачей на этом языке. Тогда я разрабатывал приложение для ПК, где графический пользовательский интерфейс создавался на PyQT, а основным языком в программе был Python. Чтобы скрыть код, я встроил...
Как понять, что вы не дуршлаг, или Уязвимости, которые нельзя называть
Если вызывали пояснительную бригаду по уязвимостям, она приехала. Я Миша Козлов, в Positive Technologies отвечаю за продукты по анализу инфраструктуры и детектированию уязвимостей. Вместе с командой экспертов делаем так, чтобы компании узнавали все о своих активах, искореняли shadow IT и...
Предотвращение утечек API
Компонент «Предотвращение утечек API» расширяет функциональность ПО «Структура API» в области мониторинга скомпрометированных секретов (токенов) с дальнейшей возможностью блокировки таких токенов путём создания виртуальных патчей.Он предоставляет следующие возможности: Читать далее...